[Resolvido] Erro certificado - JusBrasil

ismarcs

Tem vários sites problemáticos, uso uma lista de bypass bem controlada, sites para emissão de NFs, alguns sites do governo. O certificado local não vai passar pelo navegador.

mcury

Bem, a vantagem desse modo que sugeri, é que você faria bypass por domínio, ou por wildcard.

Um exemplo de arquivo PAC simples, seria esse:

function FindProxyForURL(url, host) {
//INICIO BYPASS POR REGEX OR WILDCARD
if (isPlainHostName(host) ||
shExpMatch(host, ".gov.br") ||
shExpMatch(host, ".local.lan") ||
//INICIO BYPASS BY DESTINATIONS NETWORK
isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") ||
isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") ||
isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0")||
//BYPASS DESTINATION DOMAINS OR FQDNS
dnsDomainIs(host, "lastpass.com") ||
//BYPASS Windows
dnsDomainIs(host, "download.windowsupdate.com") ||
dnsDomainIs(host, "microsoft.com"))
return "DIRECT";
//THE REST GOES TO PROXY
if (isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0"))
return "PROXY 192.168.0.1:3128; DIRECT";

Nesse caso, ao invés do navegador jogar para o proxy, ele fará uma conexão direta com o site.
E você não precisa se preocupar com IP de servidor, pois ele fará o bypass se o domínio, ou wildcard, der match no arquivo PAC.

Os administradores das máquinas poderiam sim remover o arquivo PAC, por tanto é importante fazer um controle no nível de acesso as máquinas.

alexandre.angeli

Entendi.. Trabalhando com as opções avançadas do proxy no Windows, da mesma forma que a imagem abaixo, não alcançaria o mesmo resultado? Estou perguntando, porque neste modelo eu já tenho controle de acesso dos usuários (bloqueado) e também posso aplicar via GPO no AD.

Lá em baixo nas Exceções.

mcury

Alcançaria sim, no entanto, essa configuração na sua imagem, seria exclusivamente para o Windows e IE.
Você precisaria fazer a mesma configuração nos outros navegadores e em todos os computadores.

Eu pessoalmente prefiro fazer um arquivo PAC, centralizado, e não ter que configurar cada navegador que o cliente possa ter.
Apenas distribuo o PAC por GPO, existem versões do Firefox e do Chrome que trabalham com a GPO, então fica mais fácil o controle.

Claro que cada cenário é diferente, e de repente essa opção não seria a melhor para você.

Mas como meus clientes que uso essa forma, possuem mais de 50 computadores, eu faço uma política de GPO com a configuração PAC para os navegadores, e não deixo a opção de remover o arquivo PAC disponível.

alexandre.angeli

Entendi.
Bom, irei encerrar es tópico como resolvido, com o tempo tento encontrar o motivo exato dos bloqueios de certificados para alguns sites. Por hora, vou resolver neste formato que mencionou, e mesmo para aprendizado irei trabalhar em cima do PAC.

Agradeço a todos que participaram e me ajudaram a diagnosticar o problema. Um abraço.

DaddyGo

Se tiveres uma solução específica (com „ gov.br ”), entre em contacto.
Estou muito interessado no resultado final.

Até logo

alexandre.angeli

@DaddyGo Com certeza, digo o mesmo também pois ainda quero encontrar uma solução para este problema.

Até logo! E muito obrigado pelo suporte.

rafamello

Olá...

Também tenho esse problema, faz algum tempo e nunca achei solução.

Nem o usuário passando totalmente por fora do firewall e proxy.

Uso Squid+squidguard com SLL transparente.

rafamello

https://tecnoblog.net/353037/os-sites-do-governo-finalmente-vao-parar-de-dar-erros-de-certificado/

DaddyGo

@rafamello

Como pensávamos, o problema é com *.GOV + cert.